Ogłoszenie polskiego dyplomaty wykorzystane przez rosyjskich hakerów. Zaatakowali przedstawicieli co najmniej 22 placówek dyplomatycznych w Kijowie.
Rosyjscy hakerzy przejęli ogłoszenie o sprzedaży samochodu, które rozsyłał pracownik polskiego Ministerstwa Spraw Zagranicznych do osób pracujących w różnych ambasadach w Kijowie. Cyberprzestępcy skopiowali ogłoszenie i osadzili w nim złośliwe oprogramowanie, a następnie rozesłali do co najmniej 22 placówek dyplomatycznych działających w Kijowie. Celem przestępców było włamanie do komputerów dyplomatów i dyplomatek.
Tego rodzaju ataki mogą być wykorzystywane przy okazji jesiennych wyborów – ostrzegają analitycy ESET. Jak podaje Reuters, powołują się na Unit 42 za sprawą najprawdopodobniej stoi grupa hakerska znana jako APT29 lub „Cozy Bear”. ESET po raz pierwszy przeanalizował APT29 w 2017 roku, jednak największą aktywność grupy zauważył od czasu inwazji Rosji na Ukrainę. W 2021 r. amerykański i brytyjski wywiad zidentyfikowały grupę jako powiązaną z rosyjską Służbą Wywiadu Zagranicznego. W kwietniu 2023 r. polski kontrwywiad informował, że grupa aktywnie prowadzi kampanię wymierzona w kraje NATO, Unii Europejskiej i Afryki. Badacze Unit 42 powiązali zgłaszane ataki z ogłoszeniem o sprzedaży auta przez polskiego dyplomatę. Pracownik MSZ, który ze względów bezpieczeństwa odmówił podania swojej tożsamości, potwierdził wykorzystanie jego reklamy w działaniu cyberprzestępców.
Cytując agencję Reuters: „Polski dyplomata powiedział, że wysłał oryginalne ogłoszenie do różnych ambasad w Kijowie i że ktoś oddzwonił do niego, ponieważ cena wyglądała „atrakcyjnie”.
– Kiedy sprawdziłem, zdałem sobie sprawę, że mówili o nieco niższej cenie – opowiadał.
Okazało się, że hakerzy wystawili BMW dyplomaty za niższą cenę – 7500 euro – w swojej fałszywej wersji ogłoszenia, próbując zachęcić więcej osób do pobrania złośliwego oprogramowania, które dałoby im zdalny dostęp do ich urządzeń.”
Źródło informacji: Reuters
Komentarz Beniamina Szczepankiewicza, ekspert ds. cyberbezpieczeństwa ESET:
Łatwo byłoby uznać, że to kolejny atak grupy powiązanej z Rosją: na pewno nie pierwszy i prawdopodobnie nie ostatni. Należy pamiętać, że ataki kierowane w szczególności na instytucje państwowe są bardzo groźne. Nie są to powszechne ataki, które dotykają nas bezpośrednio, ale przez swój charakter, mogą zaszkodzić bezpieczeństwu obywateli. Dostęp do komputerów w placówkach dyplomatycznych może dać innym państwom wgląd w tajne dokumenty i doprowadzić do paraliżu instytucji. Biorąc pod uwagę zbliżające się w Polsce wybory i fakt, że nasz kraj jest jednym z najaktywniejszych sojuszników Ukrainy, powinniśmy bardzo dokładnie przyjrzeć się tej sprawie.
Tego rodzaju ataki mogą powtarzać się w najbliższej przyszłości i nieść ze sobą bardzo poważne konsekwencje. Cyberprzestępcy mogą zagrozić prawidłowemu przebiegowi jesiennych wyborów np. atakując przedstawicieli i przedstawicielki instytucji odpowiedzialnych za organizację i przebieg wyborów.
Osoby takie jak dyplomaci i urzędnicy państwowi, muszą zachować szczególną ostrożność przez cały czas, nawet odpowiadając na pozornie niewinną ofertę w formie ogłoszenia. Cyberprzestępcy powiązani ze służbami obcych państw są nieustępliwi i wykorzystają każdą nadarzającą się możliwość. Co więcej, każdy musi zachować czujność wobec wszelkiej komunikacji online, nawet jeśli wydaje nam się, że wiemy, z kim rozmawiamy. Nigdy nie mamy pewności, czy ktoś nie przejął konta naszego współpracownika.
Ostrożność w kontaktach online jest zalecana zawsze, jednak w najbliższych miesiącach w Polsce będzie to szczególnie istotne. Wszyscy, a zwłaszcza przedstawiciele i przedstawicielki instytucji publicznych muszą pamiętać o podstawowych zasadach:
- uważajmy na oferty reklamowe, które nam się wyświetlają, gdyż mogą to być złośliwe reklamy wykupione przez cyberprzestępców (tzw. Malvertising),
- nawet jeśli ktoś kogo znamy wysyła nam e-mail z załącznikiem, nie otwierajmy go bez zastanowienia. Potwierdźmy, że wiadomość faktycznie pochodzi od danej osoby innym kanałem (np. na komunikatorze),
- nigdy nie klikajmy w linki nieznanego pochodzenia,
- pamiętajmy, że bez względu na to, kim jesteśmy, możemy zostać celem cyberprzestępców.
